脆弱性スキャナー「OpenVAS」は、Nessusの派生ソフトウェアでオープンソースのソフトウェアです。今回はインストールやOpenVAS構成、利用方法の概要を記載します。 Continue reading
Category Archives: 脆弱性診断ツール
OWASP Zed Attack Proxy 2.3.1 のインストールと機能
OWASP Zed Attack Proxy(略称ZAP)は、Webアプリケーションの脆弱性を診断するペネトレーションテストツールです。
ZAPが稼動する端末はマルチプラットフォーム対応がされており、Linux/Windows/Macに対応しています。また、多言語対応もされており、日本語も含まれています。
2014/05/21 に Version 2.3.1 が公開されています。ここでは、ZAPのインストールと機能を簡易ではありますが記載しています。 Continue reading
nikto 2.1.5 の利用方法
niktoは、Webサーバと、そのWebサーバで稼動しているWebアプリケーションに対して、既に公表されているセキュリティホールやセキュリティ上で問題のある設定を、辞書ベースでスキャンできるツールです。 Continue reading
Nmapコマンドラインオプションの使い方
ネットワーク調査やセキュリティ監査を行う際に便利なオープンソースツールであるNmap(Network Mapper)について、簡単ですがコマンドラインオプションの使い方を記載しています。 Continue reading
Zed Attack Proxy (ZAP) バージョンアップ(2.2.2)とモード選択
久しぶりに、OWASP Zed Attack Proxy (ZAP) を確認してみると、バージョンが「2.2.2」にアップしていました。前回確認時は「2.0.0」だったので、結構更新された感があります。
簡単ではありますが、Mode(モード)選択について記載します。
脆弱性診断ツール ZAP にも記載しておりますので、合わせて参照いただければと思います。
※ ご自身が管理しているサイト以外での実行は絶対に避けるよう、お願いいたします。
モード
ZAP のユーザーインターフェースの Top Level Toolbar では、Mode(モード)が選択できます。
- Safe mode
- Protected mode
- Standard mode
ZAP の説明では、Protected mode の利用が推奨されています。Safe mode で良いケースも多いと思います。
Standard mode は危険なので、自身が管理しているサイト、かつ、壊れてもよい自身の検証サイトでのみ使う形になるのかなと思います。デフォルト選択が Standard mode になっているみたいなので注意してください。
Zed Attack Proxy (ZAP) バージョンアップ(2.0.0)
Webアプリケーションの脆弱性を見つけるペネトレーション試験ツール「OWASP Zed Attack Proxy(ZAP)」が、メジャーバージョン2.0.0 にアップしていたので、 変更点や利用感を紹介します。 Continue reading